Check Point Software Technologiesは4月7日(米国時間)、「Android banking stealer dubbed “Sharkbot” found disguised as legitimate anti-virus apps on the Google Play store - Check Point Software」において、Google Playストアに正規の「アンチウイルスアプリ」を偽装したマルウェアを発見したと伝えた。銀行の口座情報や認証情報を窃取するマルウェアが本体の偽セキュリティアプリであり、すでに15,000回以上ダウンロードされたと推定されている。
Check Point Software Technologiesが発見した不審なアプリの正体は「Sharkbot」と呼ばれるAndroid向けのマルウェアとのことだ。正規のアンチウイルスソフトウェアを偽装したマルウェアであり、インストールするとマルウェア本体をダウンロードして認証情報の窃取などが行われるという。このインシデントはGoogleへ報告済であり、Google Play ストアからは削除されている。
類似のサイバーセキュリティインシデントはこれまでも発生しているが、「Sharkbot」は使われている技術とアルゴリズムによってほかのマルウェアとはかなり異なる動きを見せているという。まず、Sharkbotはジオフェンシング機能を使っており、中国、インド、ルーマニア、ロシア、ウクライナ、ベラルーシのユーザーが使っている場合はマルウェアとして動作しないという。
さらに回避技術を備えるほか、Android向けのマルウェアとしては珍しいことにDGA (Domain Generation Algorithm)と呼ばれる手法も利用している。発見されたマルウェアはGoogle Play ストアからは削除されているが、最近アンチウイルスアプリをインストールしたという場合は、Check Point Software Technologiesが発見したとするアプリをインストールしていないかを確認するとともに、該当する場合には確認およびアンインストールといった対応をとることが望まれる。